Inzicht in de Kusto-querytaal-instructiestructuur

  • 3 minuten

Een KQL-query is een alleen-lezen aanvraag voor het verwerken van gegevens en het retourneren van resultaten. De aanvraag wordt vermeld in tekst zonder opmaak, met behulp van een gegevensstroommodel dat is ontworpen om de syntaxis gemakkelijk te lezen, te schrijven en te automatiseren. De query maakt gebruik van schema-entiteiten die zijn geordend in een hiërarchie die vergelijkbaar is met de databases, tabellen en kolommen van SQL.

De query bestaat uit een reeks query-instructies. Ten minste één instructie is een tabellaire expressie-instructie die gegevens produceert die zijn gerangschikt in een tabelachtige mesh van kolommen en rijen. De instructies in de tabellaire expressie van de query genereren de resultaten van de query.

De syntaxis van de instructie tabellaire expressie heeft een tabellaire gegevensstroom van de ene tabellaire queryoperator naar de andere. Te beginnen met de gegevensbron en vervolgens door een set operatoren voor gegevenstransformatie die aan elkaar zijn gebonden met behulp van het scheidingsteken voor pijpen (|).

De volgende query heeft bijvoorbeeld één instructie, een tabellaire expressie-instructie. De instructie begint met een tabel met de naam SecurityEvent. De waarde van de kolom EventID filtert de gegevens (rijen) en vervolgens worden de resultaten samengevat door een nieuwe kolom te maken voor de count() by Account. Vervolgens worden de resultaten in de fase Voorbereiden beperkt tot 10 rijen.

Diagram of K Q L Statement showing data, condition and evidence.

Belangrijk

Het is essentieel om te begrijpen hoe de resultaten door de pijp |stromen. Alles links van de pijp wordt verwerkt en vervolgens aan de rechterkant van de pijp doorgegeven.

Toegang tot de Log Analytics-demoomgeving

Microsoft biedt toegang tot een omgeving voor het oefenen met het schrijven van KQL-instructies. Het enige vereiste is om een account te hebben om u aan te melden bij Azure. Er worden geen kosten in rekening gebracht voor uw Azure-account voor toegang tot deze omgeving. U kunt de KQL-instructies in deze module uitvoeren in de demo-omgeving.

U kunt toegang krijgen tot de demo-omgeving op https://aka.ms/lademo

Belangrijk

De log analytics-demodatabase is een dynamische omgeving. De gebeurtenissen die in de tabellen in die omgeving zijn vastgelegd, worden continu bijgewerkt met verschillende beveiligingsevenementen. Dit is vergelijkbaar met wat een persoon zou ervaren in een echte beveiligingsbewerkingsinstelling. Als gevolg hiervan kunnen eindige query's in deze training geen resultaten tonen, afhankelijk van de status van de demodatabase op het moment dat de query wordt uitgevoerd. Een query in de tabel SecurityEvent voor 'discardEventID = 4688' in de afgelopen dag kan bijvoorbeeld geen resultaten opleveren als die specifieke gebeurtenis drie dagen geleden heeft plaatsgevonden. Daarom moet u mogelijk variabelen aanpassen in de scripts die worden vermeld in deze training ad-hoc, afhankelijk van welke gegevens zich in de demodatabase bevinden op het moment dat u het script uitvoert om de query resultaten te laten zien. Deze scriptaanpassingen zijn vergelijkbaar met wat u in de praktijk zou uitvoeren en moeten u helpen te leren hoe de specifieke onderdelen van de scriptfunctie werken.

Screenshot of the Log Analytics Demo Environment.

Het queryvenster heeft drie primaire secties:

  • Het linkergebied is een referentielijst met de tabellen in de omgeving.

  • Het middelste bovenste gebied is de Query-editor.

  • Het onderste gebied is de queryresultaten.

Voordat u een query uitvoert, past u het tijdsbereik aan om de gegevens te bepalen. Als u de weergegeven resultaatkolommen wilt wijzigen, selecteert u het vak Kolommen en kiest u de vereiste kolommen.